Трассировка сообщений в новом Центре администрирования Exchange в Exchange Online

Трассировка сообщений в новом Центре администрирования Exchange (EAC) следует за сообщениями электронной почты по мере их перемещения по вашей организации Microsoft 365. Вы можете определить, получила ли служба, отклонила, отложила или доставила сообщение. Трассировка сообщений также показывает, какие действия были выполнены с сообщением до того, как оно достигло окончательного состояния.

Трассировка сообщений в новом центре администрирования EAC улучшает исходную трассировку сообщений, доступную в классическом центре администрирования EAC. Сведения из трассировки сообщений можно использовать для эффективного ответа на вопросы пользователей о том, что произошло с сообщениями, для устранения неполадок с потоком обработки почты и проверки изменений политики.

Что нужно знать перед началом работы

• Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:

  • разрешения Exchange Online: членство в группе ролей Управление организацией.
  • разрешения Microsoft Entra. Членство в ролях глобального администратора или администратора Exchange предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.

• Максимальное количество сообщений, отображаемых в результатах, зависит от выбранного типа отчета. Дополнительные сведения см. в разделе Результаты трассировки сообщений. Командлет Get-HistoricalSearch в Exchange Online PowerShell возвращает все сообщения в результатах.

Открытие трассировки сообщений

В новом EAC по адресу https://admin.exchange.microsoft.comперейдите в разделТрассировка сообщенийпотока> почты. Или, чтобы перейти непосредственно на страницу трассировки сообщений , используйте https://admin.exchange.microsoft.com/#/messagetrace.

Страница трассировки сообщений

На странице Трассировка сообщений можно запустить новую трассировку по умолчанию, выбрав Начать трассировку.

Во всплывающем окне Новая трассировка сообщений по умолчанию выполняется поиск всех сообщений для всех отправителей и получателей за последние два дня. Вы также можете использовать один из сохраненных запросов из доступных вкладок (как есть или в качестве отправной точки для собственных запросов):

• Запросы по умолчанию: встроенные запросы, предоставляемые Microsoft 365.
• Пользовательские запросы: запросы, сохраненные администраторами в вашей организации для использования в будущем.
• Автоматически сохраненные запросы. Последние 10 последних запросов выполняются. Этот список упрощает сбор с того места, где вы оставили.

На вкладке Скачиваемые отчеты отображаются запросы загружаемых отчетов и сами отчеты, когда они доступны для скачивания.

Параметры новой трассировки сообщений

В следующих разделах описываются доступные параметры во всплывающем окне Новая трассировка сообщений , который открывается при выборе параметра Начать трассировку или открыть существующую трассировку.

Отправители и получатели

Значение по умолчанию для отправителей и получателей — All, но вы можете ввести определенные значения:

• Отправители. Щелкните поле и начните вводить, чтобы ввести или выбрать одного или нескольких отправителей из вашей организации.
• Получатели. Щелкните поле и начните вводить, чтобы ввести или выбрать одного или нескольких получателей в вашей организации.

Вы можете ввести адреса электронной почты внешних отправителей и получателей. Поддерживаются подстановочные знаки (например, *@contoso.com), но нельзя использовать несколько подстановочных знаков в одном значении.

Можно вставить несколько списков отправителей или получателей, разделенных точкой с запятой (;), пробелами (\s), возвращаемыми каретки (\r) или новыми строками (\n).

Диапазон времени

В разделе Диапазон времени значение по умолчанию — 2 дня, но можно указать диапазоны даты и времени до 90 дней. При использовании диапазонов даты и времени учитывайте следующие проблемы:

• По умолчанию вы выбираете диапазон времени в режиме ползунка с помощью временная шкала.

  

  При сохранении запроса в режиме ползунка сохраняется относительный диапазон времени (например, через два дня с сегодняшнего дня).

• Можно переключиться в пользовательское представление диапазона времени , чтобы указать следующие значения:

  • Часовой пояс: применяется к входным данным и результатам запроса.
  • Дата начала: дата и время.
  • Дата окончания: дата и время.

  

  При сохранении запроса в представлении Настраиваемого диапазона времени сохраняется абсолютный диапазон даты и времени (например, 2023-05-06 13:00 to 2023-05-08 18:00).

В течение 10 дней или менее результаты мгновенно становятся доступными в виде сводного отчета.

Если указать диапазон даты и времени, который даже немного превышает 10 дней:

• Результаты доступны только в виде скачиваемого CSV-файла ( расширенный сводный отчет или расширенный отчет).
• Результаты подготавливаются с использованием архивных данных трассировки сообщений. Может потребоваться несколько часов, прежде чем отчет будет доступен для скачивания. В зависимости от того, сколько других администраторов также отправили запросы отчетов примерно в то же время, вы также можете заметить задержку перед началом обработки запроса в очереди.

Подробные параметры поиска

В разделе Подробные параметры поиска доступны следующие параметры:

• Состояние доставки. Доступны следующие значения:

  • Все: это значение по умолчанию.
  • Доставлено: сообщение успешно доставлено в целевое место назначения.
  • Развернуто: получатель группы рассылки был развернут перед доставкой отдельным членам группы.
  • Сбой: сообщение не доставлено.
  • Ожидание^*: выполняется попытка доставки сообщения или повторная проверка.
  • Помещено в^* карантин: сообщение было помещено в карантин (как спам, массовая почта или фишинг). Дополнительные сведения см. в разделе Сообщения электронной почты, помещенные в карантин в EOP.
  • Отфильтровано как спам^*: сообщение было определено как спам, было отклонено или заблокировано (не помещено в карантин).
  • Получение состояния: Сообщение было недавно получено Microsoft 365, но другие данные о состоянии пока недоступны. Вы можете проверка снова в течение нескольких минут.

  ^* Это значение доступно только в поисках менее 10 дней. Если вам нужно запросить данные старше 10 дней, используйте командлет Start-HistoricalSearch в Exchange Online PowerShell.

  Примечание.

  между значениями сообщаемого и фактического и сообщаемого состояния доставки может быть задержка в пять-десять минут.

• Идентификатор сообщения: идентификатор сообщения в Интернете (также известный как идентификатор клиента), который находится в поле Заголовок Message-ID в заголовке сообщения. Пользователи могут предоставить вам это значение для изучения конкретных сообщений.

  Это значение не изменяется на протяжении всего времени жизни сообщения. Для сообщений, созданных в Microsoft 365 или Exchange, значение идентификатора сообщения использует формат <GUID@ServerFQDN>, включая угловые скобки. Например, <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>. Другие почтовые системы могут использовать другой синтаксис или значения. Это значение должно быть уникальным, но не все почтовые системы строго соответствуют этому требованию. Если поле заголовка Message-ID: не существует или пусто для входящих сообщений из внешних источников, присваивается произвольное значение.

  При использовании идентификатора сообщения для фильтрации результатов убедитесь, что вы включили полную строку, включая все угловые скобки.

• Направление: выберите одно из следующих значений:

  • Все: это значение по умолчанию.
  • Входящие: сообщения, отправляемые получателям в вашей организации.
  • Исходящие: сообщения, отправляемые пользователями в вашей организации.

• Исходный IP-адрес клиента: IP-адрес клиентского компьютера или устройства отправителя электронной почты. Этот фильтр можно использовать для исследования взломанных компьютеров, которые отправляют большое количество спама или вредоносных программ. Хотя сообщения могут поступать от нескольких отправителей, вполне вероятно, что один и тот же компьютер создает все сообщения.

  Примечание.

  Сведения об IP-адресе клиента доступны только в течение 10 дней и только в расширенном сводном отчете или расширенном отчете (скачиваемые CSV-файлы).

Тип отчета

Доступные типы отчетов:

• Сводный отчет: доступен, если диапазон времени меньше 10 дней и не требует других параметров фильтрации. Результаты будут доступны почти сразу после выбора Поиск. Отчет возвращает до 20 000 результатов.

  Выберите Поиск, чтобы начать трассировку сообщений. Вы перейдете на страницу результаты поиска трассировки сообщений , как описано в разделе Выходные данные сводного отчета .

  Последние 10 запросов сводного отчета доступны на вкладке Автосохраняемые запросы на странице Трассировка сообщений .

• Расширенный сводный отчет. Включает сведения в сводном отчете, а также другие сведения (например, направление и исходный IP-адрес клиента). Доступно только в виде скачиваемого CSV-файла. Отчет возвращает до 100 000 результатов.

• Расширенный отчет. Содержит те же сведения, что и расширенный сводный отчет, а также подробные сведения о событиях маршрутизации и сообщений. Доступно только в виде скачиваемого CSV-файла. Отчет возвращает до 1000 результатов.

  Расширенный сводный отчет и расширенный отчет требуют одного или нескольких из следующих параметров фильтрации независимо от диапазона времени: отправителей, получателей или идентификатора сообщения.

  Расширенный сводный отчет и расширенный отчет подготавливаются с использованием архивных данных трассировки сообщений. Может потребоваться несколько часов, прежде чем отчет будет доступен для скачивания. В зависимости от того, сколько других администраторов также отправили запросы отчетов примерно в то же время, вы также можете заметить задержку перед началом обработки запроса в очереди.

  Хотя вы можете выбрать расширенный сводный отчет или Расширенный отчет для любого диапазона даты и времени, архивные данные за последние 24 часа обычно недоступны.

  Максимальный размер скачиваемого CSV-файла — 800 МБ. Если размер скачиваемого отчета превышает 800 МБ, его невозможно открыть в Excel или Блокноте.

  При нажатии кнопки Далее вы перейдете к всплывающему элементу сводки, в который перечислены выбранные параметры фильтрации, уникальное (редактируемое) название отчета и адрес электронной почты для получения уведомления по завершении трассировки сообщения (также редактируемый и должен находиться в одном из принятых доменов вашей организации).

  Выберите Подготовить отчет , чтобы отправить трассировку сообщения. Состояние отчета можно просмотреть на вкладке Скачиваемые отчеты . Дополнительные сведения о возвращаемых данных см. в разделах Расширенные сводные отчеты и Расширенные отчеты .

Результаты трассировки сообщений

Различные типы отчетов возвращают разные уровни информации. Сведения, доступные в различных отчетах, описаны в следующих разделах:

• Выходные данные сводного отчета
• Расширенные сводные отчеты
• Расширенные отчеты

Выходные данные сводного отчета

После выполнения трассировки сообщений результаты сортируются по убыванию даты и времени (сначала самые последние события).

Сводный отчет содержит следующие сведения:

• Дата: дата и время получения сообщения службой с использованием настроенного часового пояса UTC.
• Sender: адрес электронной почты отправителя (домен псевдонима@).
• Получатель: адрес электронной почты получателя. Если сообщение содержит несколько получателей, каждый получатель находится в отдельной строке. Если получатель является группой рассылки, динамической группой рассылки или группой безопасности с поддержкой почты, группа является первым получателем, за которым следует каждый участник группы в отдельной строке.
• Тема: первые 256 символов поля Subject: сообщения.
• Состояние. Эти значения описаны в разделе Подробные параметры поиска .

По умолчанию первые 250 результатов загружаются и становятся доступными. При прокрутке вниз происходит небольшая пауза при загрузке следующего пакета результатов, до 10 000.

Вы можете отсортировать записи, щелкнув доступный заголовок столбца.

На вкладке Email можно уменьшить вертикальный интервал в списке, щелкнув Изменить представление, а затем выбрав Компактный список.

Используйте поле Поиск и соответствующее значение для поиска определенных записей. Подстановочные знаки не поддерживаются

Для более сложных фильтров, которые можно также сохранить и использовать позже, выберите Фильтр , а затем — Новый фильтр. Во всплывающем окне Настраиваемый фильтр введите следующие сведения:

• Присвойте фильтру имя: введите уникальное имя.

• Добавьте предложение фильтра, введя следующие сведения:

  • Поле. Выберите из следующих значений:
    • Sender
    • Получатель
    • Тема
    • Состояние
  • Оператор: выберите начало с или имеет значение .
  • Значение. Введите значение, которое требуется найти.

  Вы можете выбрать Добавить новое предложение и повторить предыдущий шаг столько раз, сколько потребуется. В нескольких предложениях используется логика AND (<Clause1> AND <Clause2>...).

  Чтобы удалить предложение фильтра, выберите Удалить предложение рядом с записью.

  Завершив работу во всплывающем окне Настраиваемый фильтр , нажмите кнопку Сохранить. Новый фильтр загружается автоматически, а отфильтрованные результаты отображаются на странице Результаты поиска трассировки сообщений . Этот результат будет таким же, как при выборе фильтра и последующем выборе существующего фильтра в разделе Настраиваемые фильтры в списке.

  Чтобы выгрузить существующий фильтр и вернуться к сведениям по умолчанию, отображаемым на странице Результатов поиска трассировки сообщений , выберите >Очистить все фильтры.

Выберите Изменить трассировку сообщений , чтобы изменить условия поиска.

Используйте команду Экспорт результатов для экспорта отображаемых результатов в CSV-файл.

Выберите Обновить , чтобы обновить результаты.

Поиск связанных записей для этого сообщения

Связанные записи сообщений — это записи, которые используют один и тот же идентификатор сообщения. Помните, что даже одно сообщение, отправленное между двумя людьми, может создать несколько записей. Количество записей увеличивается, когда на сообщение влияют расширение группы рассылки, переадресация, правила потока обработки почты (также известные как правила транспорта) и т. д.

В пустой области рядом со столбцом Дата выберите круглое поле проверка, которое появится рядом с записью. На странице Результатов трассировки сообщений отображаются следующие действия:

• Просмотр в Обозреватель. Открывает сообщение в Обозреватель угрозы в организациях с Microsoft Defender для Office 365 план 2. Дополнительные сведения см. в статье Что такое Обозреватель угроз?
• Go Hunting: поиск сообщения в Обозреватель угрозы в организациях с Microsoft Defender для Office 365 план 2. Дополнительные сведения см. в разделе Охота на угрозы в Обозреватель угроз для Microsoft Defender для Office 365
• Поиск связанных. Открывает новую трассировку сообщений для поиска связанных записей для сообщения.

Дополнительные сведения об идентификаторе сообщения см. в разделе Подробные параметры поиска .

Сведения о трассировки сообщений

В выходных данных сводного отчета можно просмотреть сведения о сообщении, щелкнув в любом месте строки, кроме круглого поля проверка рядом со значением даты.

Открывающаяся проверка сведений содержит следующие сведения, отсутствуют в сводном отчете:

• События сообщений. После развертывания этого раздела вы увидите классификации, которые помогают классифицировать действия, выполняемые службой с сообщениями. Некоторые из более интересных событий, которые могут возникнуть:

  • Получение: сообщение было получено службой.
  • Отправить: сообщение было отправлено службой.
  • Сбой: сообщение не удалось доставить.
  • Доставка: сообщение доставлено в почтовый ящик.
  • Развернуть. Сообщение отправлено в развернутую группу рассылки.
  • Перенос. Получатели были перемещены в раздвоенные сообщения из-за преобразования содержимого, ограничений получателей сообщений или агентов.
  • Отложить: доставка сообщения была отложена и может быть повторно превыполнена позже.
  • Решено. Сообщение было перенаправлено на новый адрес получателя на основе поиска Active Directory. При возникновении этого события исходный адрес получателя указывается в отдельной строке трассировки сообщения вместе с окончательным состоянием доставки сообщения.
  • Правило защиты от потери данных: в сообщении было совпадение с правилом защиты от потери данных.
  • Метка конфиденциальности: Произошло событие маркировки на стороне сервера. Например, метка была автоматически добавлена в сообщение, включающее действие для шифрования, или была добавлена через веб-клиент или мобильный клиент. Это действие выполняется сервером Exchange Server и регистрируется в журнале. Метка, добавленная через Outlook, не включается в поле события.

  Примечания.

  • Если сообщение неровно доставлено, в трассировке сообщения создается несколько записей событий . Описание дополнительных событий см. в разделе Типы событий в журнале отслеживания сообщений. Эта ссылка является разделом Exchange Server (локальный Exchange).

• Дополнительные сведения. После развертывания этого раздела можно просмотреть следующие сведения:

  • Идентификатор сообщения. Это значение описано в разделе Подробные параметры поиска . Примером значения идентификатора сообщения является <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
  • Размер сообщения: размер отправленного сообщения, включая вложения, рисунки и текст.
  • С IP-адреса: IP-адрес компьютера, отправляющего сообщение. Для исходящих сообщений, отправленных из Exchange Online, это значение будет пустым.
  • На IP-адрес: IP-адреса, по которым служба попыталась доставить сообщение. Если сообщение имеет несколько получателей, эти адреса отображаются. Для входящих сообщений, отправленных в Exchange Online, это значение будет пустым.

Расширенные сводные отчеты

Расширенный сводный отчет доступен на вкладке Скачиваемые отчеты на странице Трассировка сообщений:

• Отчеты, доступные для скачивания, имеют значение СостояниеЗавершено
• Отчеты, которые недоступны для скачивания, имеют значения СостояниеНе запущено или Выполняется.

В CSV-файле расширенного сводного отчета доступны следующие сведения:

• ^*origin_timestamp: дата и время первоначального получения сообщения службой с использованием настроенного часового пояса UTC.
• sender_address: адрес электронной почты отправителя (домен псевдонима@).
• Recipient_status: состояние доставки сообщения получателю. Если сообщение было отправлено нескольким получателям, в нем отображаются все получатели и соответствующее состояние для каждого из них в формате: < адрес >электронной почты##<состояние>. Ниже приведены примеры состояний получателей.
  • ##Receive, Отправить означает, что сообщение было получено службой и отправлено в нужное место назначения.
  • ##Receive, Fail означает, что сообщение было получено службой, но доставка в целевое место назначения завершилась сбоем.
  • ##Receive, Доставка означает, что сообщение было получено службой и доставлено в почтовый ящик получателя.
• message_subject: первые 256 символов в поле Тема сообщения.
• total_bytes: размер сообщения в байтах, включая вложения.
• message_id. Это значение описано в разделе Подробные параметры поиска . Примером значения message_id является <d9683b4c-127b-413a-ae2e-fa7dfb32c69d@DM3NAM06BG401.Eop-nam06.prod.protection.outlook.com>.
• network_message_id: уникальное значение идентификатора сообщения, которое сохраняется во всех копиях сообщения, которые могут быть созданы из-за бифуркации или расширения группы рассылки. Примером network_message_id значения является 1341ac7b13fb42ab4d4408cf7f55890f.
• original_client_ip: IP-адрес SMTP-сервера отправителя.
• направление. Указывает, было ли сообщение отправлено входящий (в организацию) или исходящий (из вашей организации).
• connector_id: имя исходного или целевого соединителя. Дополнительные сведения о соединителях в Exchange Online см. в статье Настройка потока обработки почты с помощью соединителей в Office 365.
• ^*delivery_priority: было ли отправлено сообщение с высоким, низким или обычным приоритетом.

^* Эти свойства доступны только в расширенном сводном отчете.

Расширенные отчеты

Расширенный отчет доступен на вкладке Скачиваемые отчеты на странице Трассировка сообщений:

• Отчеты, доступные для скачивания, имеют значение СостояниеЗавершено
• Отчеты, которые недоступны для скачивания, имеют значения СостояниеНе запущено или Выполняется.

В CSV-файле расширенного отчета доступны следующие сведения:

• client_ip: IP-адрес почтового сервера или клиента обмена сообщениями, отправившего сообщение.

• client_hostname: имя узла или полное доменное имя сервера электронной почты или клиента обмена сообщениями, отправившего сообщение.

• server_ip: IP-адрес исходного или целевого сервера.

• server_hostname: имя узла или полное доменное имя целевого сервера.

• source_context: дополнительные сведения, связанные с исходным полем. Например:

  • Protocol Filter Agent
  • 3489061114359050000

• source: компонент Exchange Online, отвечающий за событие. Например:

  • AGENT
  • MAILBOXRULE
  • SMTP

• event_id. Это значение соответствует значениям событий Message , которые описаны в разделе Поиск связанных записей для этого сообщения.

• internal_message_id: идентификатор сообщения, назначенный сервером Exchange Online, который в настоящее время обрабатывает сообщение.

• recipient_address: адреса электронной почты получателей сообщения. Если указано несколько адресов, то они отделяются друг от друга точкой с запятой (;).

• recipient_count: общее число получателей в сообщении.

• related_recipient_address. Отображает EXPANDсобытия , REDIRECTи RESOLVE для отображения адресов электронной почты других получателей, связанных с сообщением.

• reference: это поле содержит дополнительные сведения о конкретных типах событий. Например:

  • DSN: содержит ссылку на отчет, которая является message_id значением связанного уведомления о состоянии доставки (также известного как DSN, отчет о недоставке, недоставка или сообщение о отказе), если DSN создается после этого события. Если это сообщение является сообщением DSN, это поле содержит message_id значение исходного сообщения, для чего было создано DSN.

  • EXPAND: содержит related_recipient_address значение связанных сообщений.

  • RECEIVE: может содержать message_id значение связанного сообщения, если сообщение было создано другими процессами (например, правилами папки "Входящие").

  • SEND: содержит internal_message_id значение любого сообщения DSN.

  • TRANSFER: содержит internal_message_id значение сообщения, которое создается вилкой (например, путем преобразования содержимого, ограничений получателей сообщений или агентов).

  • MAILBOXRULE: содержит internal_message_id значение входящего сообщения, которое привело к созданию исходящего сообщения правилом папки "Входящие".

    Для других типов событий это поле (internal_message_id) является пустым.

• return_path: возвращаемый адрес электронной почты, указанный командой MAIL FROM , которая отправила сообщение. Хотя это поле никогда не является пустым, оно может иметь значение null отправителя, представленное как <>.

• message_info. Дополнительные сведения о сообщении. Например:

  • Дата и время возникновения сообщения в формате UTC для DELIVER событий и SEND . Дата-время начала — это время, когда сообщение впервые поступило в Exchange Online организации. Дата-время в формате UTC представлено в формате даты и времени ISO 8601: yyyy-MM-ddThh:mm:ss.fffZ, где yyyy = год, MM = месяц, dd = день, T указывает начало компонента времени, hh = час, mm = минута, ss = секунда, fff = доли секунды и Z обозначает Zulu, что является еще одним способом обозначения UTC.
  • Ошибки проверки подлинности. Например, вы можете увидеть значение 11a и тип проверки подлинности, которые использовались при возникновении ошибки проверки подлинности.

• tenant_id: значение GUID, представляющее Exchange Online организацию (например, 39238e87-b5ab-4ef6-a559-af54c6b07b42).

• original_server_ip: IP-адрес исходного сервера.

• custom_data: содержит данные, связанные с определенными типами событий. Дополнительные сведения см. в следующих разделах.

  • значения custom_data
  • Агент фильтра нежелательной почты
  • Агент фильтра вредоносных программ
  • Агент правил транспорта

значения custom_data

Поле custom_data для AGENTINFO события используется различными агентами Exchange Online для регистрации сведений об обработке сообщений. Некоторые из более интересных агентов описаны в следующих разделах.

• Агент фильтра нежелательной почты
• Агент фильтра вредоносных программ
• Агент правил транспорта

Агент фильтра нежелательной почты

Значение custom_data , начинающееся с S:SFA , — от агента фильтра нежелательной почты. Дополнительные сведения см. в разделе Поля заголовков сообщений X-Forefront-Antispam-Report.

Пример значения custom_data для сообщения, отфильтрованного по спаму, выглядит следующим образом:

S:SFA=SUM|SFV=SPM|IPV=CAL|SRV=BULK|SFS=470454002|SFS=349001|SCL=9|SCORE=-1|LIST=0|DI=SN|RD=ftmail.inc.com|H=ftmail.inc.com|CIP=98.129.140.74|SFP=1501|ASF=1|CTRY=US|CLTCTRY=|LANG=en|LAT=287|LAT=260|LAT=18;

Агент фильтра вредоносных программ

Значение custom_data , начинающееся с S:AMA , — от агента фильтра вредоносных программ. Основные сведения описаны в следующей таблице:

Значение	Описание
AMA=SUM|v=1| или AMA=EV|v=1	Сообщение помечено как содержащее вредоносные программы. SUM указывает, что вредоносная программа могла быть обнаружена любым количеством обработчиков. EV указывает, что вредоносная программа была обнаружена определенным обработчиком. Когда подсистема обнаруживает вредоносную программу, активируются последующие действия.
Action=r	Сообщение заменено.
Action=p	Сообщение не проходило фильтрацию.
Action=d	Сообщение отложено.
Action=s	Сообщение удалено.
Action=st	Сообщение не проходило фильтрацию.
Action=sy	Сообщение не проходило фильтрацию.
Action=ni	Сообщение отклонено.
Action=ne	Сообщение отклонено.
Action=b	Сообщение заблокировано.
Name=<malware>	Имя обнаруженной вредоносной программы.
File=<filename>	Имя файла, содержащего вредоносные программы.

Пример значения custom_data для сообщения, содержащего вредоносные программы, выглядит следующим образом:

S:AMA=SUM|v=1|action=b|error=|atch=1;S:AMA=EV|engine=M|v=1|sig=1.155.974.0|name=DOS/Test_File|file=filename;S:AMA=EV|engine=A|v=1|sig=201707282038|name=Test_File|file=filename

Агент правил транспорта

Значение custom_data , начинающееся сS:TRA , — от агента правил транспорта для правил потока обработки почты (также известных как правила транспорта). Основные сведения описаны в следующей таблице:

Значение	Описание
ETR|ruleId=<guid>	Выполнено правило идентификатора.
St=<datetime>	Дата и время в формате UTC, когда произошло совпадение правила.
Action=<ActionDefinition>	Примененное действие. Список доступных действий см. в разделе Действия правила потока почты в Exchange Online.
Mode=<Mode>	Режим правила. Допустимые значения: Принудительное применение: применяются все действия в отношении правила. Тест с помощью подсказок политики: все действия с подсказками политики отправляются, но другие действия по принудительному применению не выполняются. Тестирование без подсказок политики. Действия перечислены в файле журнала, но отправители не получают никаких уведомлений, и действия по принудительному применению не выполняются.</Литий?

Пример значения custom_data для сообщения, соответствующего условиям правила потока обработки почты, выглядит следующим образом:

S:TRA=ETR|ruleId=19a25eb2-3e43-4896-ad9e-47b6c359779d|st=7/17/2017 12:31:25 AM|action=ApplyHtmlDisclaimer|sev=1|mode=Enforce